Đồ án tốt nghiệp : Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng cho công ty trên thiết bị của CISCO

Tên đề tài: Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng cho công ty trên thiết bị của CISCO Nội dung đề tài Nội dung: - Tổng quan VPN - Bảo mật hệ thống VPN - Triển khai mô hình VPN Kết quả đạt được - Hiểu được thế nào là 1 VPN - Triển khai và thiết lập được 2 mô hình VPN trên IPSec: + Remote Access + Site to Site Chương I: Tổng quan VPN 1. Lịch sử và phát triển .......................................................................................... 1 2. Giới thiệu tổng quát về VPN ............................................................................ 2 3. Khái niệm VPN ................................................................................................... 3 4. Sơ lƣợc về các giao thức dùng cho VPN ........................................................ 8 4.1 Giao thức định đường hầm điểm – điểm PPTP.......................................... 8 4.2 Giao thức định đường hầm lớp 2 - L2TP .................................................... 9 4.3 Giao thức bảo mật IPSec ............................................................................... 9 5. Ƣu nhƣợc điểm của VPN ................................................................................ 10 5.1 Ưu điểm ......................................................................................................... 10 5.2 Nhược điểm................................................................................................... 11 6. Các mô hình của VPN ..................................................................................... 11 6.1 Mô hình Client – Server (Remote Access) ............................................... 12 6.2 Mô hình Site-to-site VPN ........................................................................... 18 6.3 Mô hình VPN nội bộ (Intranet VPN) ........................................................ 25 6.4Mô hình VPN mở rộng (Extranet VPN) .................................................... 27 Chƣơng II: Bảo mật hệ thống VPN 1. Các giao thức hoạt động trên hệ thống VPN.............................................. 28 1.1 Giao thức IPSec ......................................................................................... ...28 1.1.1 Dạng thức của IPSec ................................................................................ 29 1.1.2 Quản lý khóa.............................................................................................. 33 1.1.3Sử dụng IPSec ............................................................................................ 36 2. Giao thức PPTP ................................................................................................ 39 Báo cáo khóa luận tốt nghiệp 1.2.1 Dạng thức của PPTP................................................................................ 39 1.2.2 Sử dụng PPTP ........................................................................................... 42 1.2.3 Khả năng áp dụng trong thực tế ........................................................... 43 3. Giao thức L2TP ............................................................................................... 43 1.3.1 Dạng thức của L2TP ................................................................................ 44 1.3.2 Sử dụng L2TP ............................................................................................ 47 1.3.3 Khả năng áp dụng của L2TP................................................................... 48 4. Các cơ chế bảo mật cho hệ thống mạng VPN trên internet .................... 49 2.1 Bảo mật trên mạng .................................................................................... 50 2.1.1 Đánh lừa .................................................................................................... 50 2.1.2 Ăn cấp phiên .............................................................................................. 51 2.1.3 Nghe trộm .................................................................................................. 52 2.1.4 Tấn công ngay chính giữa ....................................................................... 53 2.2 Hệ thống xác thực ...................................................................................... 54 2.2.1 Mật khẩu truyền thông ............................................................................. 54 2.2.2 Mật khẩu một lần ...................................................................................... 54 2.2.3 Các hệ thống mật khẩu khác ................................................................... 54 Chương III: Triển Khai Mô Hình VPN Over IPSec 1. Giới thiệu phần mềm mô phỏng GNS3........................................................ 58 2. Remote Access VPN ......................................................................................... 62 3. Mô hình Site-To-Site ........................................................................................ 76 Tổng kết .................................................................................................................... 83 Tài liệu tham khảo.................................................................................................. 84

Khoa Công Nghệ Thông Tin

Sinh viên thực hiện: Phan Hoàng Tùng Lâm – 210805680

Nguyễn Tường Huy – 210803427 TP.HCM, Năm 2011

LỜI CẢM ƠN

-☻☻☻ -

Để thực hiện đồ án tốt nghiệp này, em xin chân thành cảm ơn sự tận tình của quý

thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng Nguyễn Tất Thành đã truyền

đạt cho em những kiến thức và kinh nghiệm quý báu trong suốt gần 2 năm học tại trường

Em cũng xin chân thành cảm ơn thầy Trần Trung Kiên đã tận tình giúp đỡ và chỉ

bảo cho em trong thời gian làm đồ án tốt nghiệp này

Thời gian thực hiện đề tài không nhiều, cũng như toàn bộ các kiến thức khó có thể nghiên cứu hoàn toàn Và với bản thân là sinh viên chưa ra trường không có nhiều kinh nghiệm nên đề tài sẽ không tránh khỏi những sai sót, kính mong nhận được ý kiến đóng góp và đánh giá của các thầy cô để em có thêm nhiều kinh nghiệm cũng như nhận ra những khuyết điểm của đề tài

Cuối cùng, mong quý thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng

Nguyễn Tất Thành, thầy Trần Trung Kiên nhận nơi em lời cảm ơn chân thành, lòng biết

ơn sâu sắc nhất và xin kính chúc quý thầy cô dồi dào sức khỏe để luôn hoàn thành tốt công việc và những định hướng của mình

TÓM TẮT KHÓA LUẬN

Tên đề tài: Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng

cho công ty trên thiết bị của CISCO

Giáo viên hướng dẫn: Trần Trung Kiên

Thời gian thực hiện: từ 20/12/2010 đến 16/4/2011

Sinh viên thực hiện: Phan Hoàng Tùng Lâm MSSV: 210805680

Nguyễn Tường Huy 210803427

Loại đề tài: Nghiên cứu và triển khai

Nội dung đề tài

- Hiểu được thế nào là 1 VPN

- Triển khai và thiết lập được 2 mô hình VPN trên IPSec:

+ Remote Access

+ Site to Site

Xác nhận của GVHD Ngày tháng năm

SV thực hiện

Trần Trung Kiên Phan Hoàng Tùng Lâm

Nguyễn Tường Huy

MỤC LỤC

Lời cảm ơn i

Tóm tắt khóa luận ii

Mục lục iv

Thuật ngữ viết tắt vi

Danh mục hình vẽ ix

Mở đầu xiii

Chương I: Tổng quan VPN 1 Lịch sử và phát triển 1

2 Giới thiệu tổng quát về VPN 2

3 Khái niệm VP N 3

4 Sơ lược về các giao thức dùng cho VP N 8

4.1 Giao thức định đường hầm điểm – điểm PPTP 8

4.2 Giao thức định đường hầm lớp 2 - L2TP 9

4.3 Giao thức bảo mật IPSec 9

5 Ưu nhược điểm của VPN 10

5.1 Ưu điểm 10

5.2 Nhược điểm 11

6 Các mô hình của VP N 11

6.1 Mô hình Client – Server (Remote Access) 12

6.2 Mô hình Site-to-site VPN 18

6.3 Mô hình VPN nội bộ (Intranet VPN) 25

6.4Mô hình VPN mở rộng (Extranet VPN) 27

Chương II: Bảo mật hệ thống VPN 1 Các giao thức hoạt động trên hệ thống VP N 28

1.1 Giao thức IPSec 28

1.1.1 Dạng thức của IPSec 29

1.1.2 Quản lý khóa 33

1.1.3Sử dụng IPSec 36

2 Giao thức PP TP 39

1.2.1 Dạng thức của PPTP 39

1.2.2 Sử dụng PPTP 42

1.2.3 Khả năng áp dụng trong thực tế 43

3 Giao thức L2TP 43

1.3.1 Dạng thức của L2TP 44

1.3.2 Sử dụng L2TP 47

1.3.3 Khả năng áp dụng của L2TP 48

4 Các cơ chế bảo mật cho hệ thống mạng VP N trên internet 49

2.1 Bảo mật trên mạng 50

2.1.1 Đánh lừa 50

2.1.2 Ăn cấp phiên 51

2.1.3 Nghe trộm 52

2.1.4 Tấn công ngay chính giữa 53

2.2 Hệ thống xác thực 54

2.2.1 Mật khẩu truyền thông 54

2.2.2 Mật khẩu một lần 54

2.2.3 Các hệ thống mật khẩu khác 54

Chương III: Triển Khai Mô Hình VPN Over IPSec 1 Giới thiệu phần mềm mô phỏng GNS3 58

2 Remote Access VPN 62

3 Mô hình Site-To-Site 76

Tổng kết 83

Tài liệu tham khảo 84

THUẬT NGỮ VIẾT TẮT

AAA Authenticationg Authorizaion Accounting

ARP Address Resolution Protocol

DMVP N Dynamic Multipoint Virtual Private Network

ESP Encapsulaiton Security Payload

HMAC Hash Message Authenticateion Code

IETF Internet Engineering Task Force

IOS Internetwork Operating System

IPSec Internet Protocol Security

ISAKMP Internet Security Association and Key

Management Protocol

NAT-T Network Address Translation Traversal NHRP Next-hop Resolution Protocol

OSI Open Systems Interconnection Reference

Model

PPTP Point-to-Point Tunneling Protocol

RADIUS Remote Authentication Dial -In User Service

RSA Ron Rivest, Adi Shamir, Len Adleman

SAD Security Association Database

SPD Security Policy Database

TACACS+ Terminal Access Controller Access Control

System Plus TCP Transmission Control Protocol

DANH MỤC HÌNH VẼ

Hình 1.3.1 Mô hình mạng VPN cơ bản 3

Hình 1.3.2 Cấu trúc của một VPN 4

Hình 1.3.3 Bảo mật trong VPN 5

Hình 1.3.4 Đường hầm trong VPN 6

Hình 1.3.5 Mã hóa trong VPN 6

Hình 1.3.6 Tường lửa VPN 7

Hình 1.3.7 Định danh người dùng trong VPN 7

Hình 1.4.1 Giao thức PPTP 8

Hình 1.4.2 Giao thức L2TP 9

Hình 1.4.3 Giao thức IPSec 9

Hình 1.6.1 Các mô hình VPN 11

Hình 1.6.2 Mô hình Remote Access VPN qua Internet 12

Hình 1.6.3 Bước 1 trong thiết lập đường hầm 15

Hình 1.6.4 Bước 2 trong thiết lập đường hầm 15

Hình 1.6.5 Bước 3 trong thiết lập đường hầm 16

Hình 1.6.6 Bước 4 trong thiết lập đường hầm 16

Hình 1.6.7 Bước 5 trong thiết lập đường hầm 17

Hình 1.6.8 Bước 6 trong thiết lập đường hầm 17

Hình 1.6.9 Bước 7 trong thiết lập đường hầm 18

Hình 1.6.10 Mô hình Site-to-Site VPN 19

Hình 1.6.11 Các bước tạo Tunnel cho VPN Site-to-Site 20

Hình 1.6.12 Hình thành tuyến lưu thông lý tưởng 20

Hình 1.6.13 IKE Phase 1 giữa hai Peer 21

Hình 1.6.14 Thiết lập chính sách cho IKE 21

Hình 1.6.15 Quá trình trao đổi khóa Diffle-Hellman 22

Hình 1.6.16 Xác thực Peer 22

Hình 1.6.17 Khởi tạo các thành phần bảo mật IPSec 23

Hình 1.6.18 Thiết Thiết lập transform set 23

Hình 1.6.19 Hình thành Tunnel IPSec 24

Hình 1.6.20 Intranet VPN dùng trong mạng nội bộ 26

Hình 1.6.21 Extranet VPN 27

Hình 2.1.1 Giao thức IPSec 28

Hình 2.1.2 IPSec SA 29

Hình 2.1.3 Cấu trúc gói tin AH 30

Hình 2.1.4 Cấu trúc gói tin ESP 31

Hình 2.1.5 Chế độ Main Mode 34

Hình 2.1.6 Chế độ Aggressive mode 35

Hình 2.1.7 Chế độ Quick mode 35

Hình 2.1.8 Security gateway 37

Hình 2.1.9 Cấu trúc SA 37

Hình 2.1.10 Giao thức PPTP 39

Hình 2.1.11 Mã hóa gói trong PPTP 41

Hình 2.1.12 Giao thức L2TP 43

Hình 2.1.13 Đường hầm L2TP 45

Hình 2.2.1 Các cơ chế bảo mật cho hệ thống mạng VPN trên internet 49

Hình 2.2.2 Đánh lừa trong VPN Internet 50

Hình 2.2.3 Ăn cấp phiên trong VPN internet 51

Hình 2.2.4 Nghe trộm trong VPN Internet 52

Hình 2.2.5 Tấn công ngay chính giữa 53

Hình 2.2.6 Giao thức xác thực mật khẩu PAP 55

Hình 2.2.7 Giao thức xác thực yêu cầu bắt tay CHAP 55

Hình 2.2.8 Xác thực TACACS 56

Hình 2.2.8 Quay số từ xa – RADIUS 57

Hình 3.1.1 Giao diện khởi động GNS3 58

Hình 3.1.2 Lựa chọn kết nối trong GNS3 59

Hình 3.1.3 Nhập IOS Image cho các thiết bị 60

Hình 3.1.4 Xác định đường dẫn IOS 61

Hình 3.2.1 Mô hình Remote AccessVPN 62

Hình 3.2.2 Hai NIC ảo trên máy do VMware tạo ra 63

Hình 3.2.3 Giao diện Cisco SDM 64

Hình 3.2.4 Giao diện VPN Client 64

Hình 3.2.5 Giao diện khởi động kết nối SDM 66

Hình 3.2.6 Giao diện đăng nhập SDM 67

Hình 3.2.7 Thông số Router hiển thị trên SDM 68

Hình 3.2.8 Chọn cấu hình Easy VPN Server 69

Hình 3.2.9 Chọn interface VPN Server và chế độ xác thực 70

Hình 3.2.10 Tạo chính sách ISAKMP 70

Hình 3.2.11 Tạo Transform-set 71

Hình 3.2.12 Chọn xác thực người dùng và tìm kiếm xác thực ngay trên Router71

Hình 3.2.13 Tạo dải địa chỉ cấp cho user khi kết nối tới VPN Server 72

Hình 3.2.14 Tạo ACL trong Split Tunneling 73

Hình 3.2.15 Tổng thể cầu hình được tạo 74

Hình 3.2.16 Giao diện chính của Cisco VPN Client 74

Hình 3.2.17 Xác thực người dùng 75

Hình 3.2.18 Client được cấp IP qua NIC Cisco VPN Adapter 75

Hình 3.3.1 Mô hình VPN Site-to-Site 76

MỞ ĐẦU

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật Và sự phát triển đó không có dấu hiệu sẽ dừng lại Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía c ạnh cuộc sống hiện đ ại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau

Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn Hơn nữa, cùng với xu hướng toàn c ầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng Internet, từ đó có thể tăng lợi nhuận của tổ chức

Một điều phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua mạng trung gian công cộng không an toàn như Internet Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPN) Chính điều này là động lực cho sự phát triển mạnh mẽ của VPN như ngày nay

CHƯƠNG 1: TỔNG QUAN VPN

1 Lịch sử hình thành và phát triển:

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách

có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN PBX hệ thố ng điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông

Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ khách thương mại loại lớn Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết

bị tập trung này, đặt tại Paris Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…) Mạng dây chuyên dùng lo ại hình cùng hưởng thụ này chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung c ấp dịch vụ chuyển mạch

âm thoại và quản lý mạng lưới cho hộ khách Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng lo ại tính năng nghiệp vụ cung c ấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây chuyên dùng Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp

vụ VPN Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích

sự phát triển nhanh chóng của dịch vụ này tại Mỹ Hiện nay VPN không chỉ dùng cho nghiệp vụ âm tho ại mà còn có thể dùng cho nghiệp vụ dữ liệu

Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của VPN trên toàn cầu Sự hình thành c ủa một số tổ chức thương mại tầm cỡ thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu dịch vụ viễn thông quốc tế Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ khách này Và so với đường dây trong nước, có thể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công ty hay tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ các mạng chuyên dùng đã được thiết lập sang sử dụng VPN Một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng nghiệp vụ VPN Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn gọi là VPN toàn cầu (GPN), đã phát triển nhanh nhất

2 Tổng quát về VPN :

Vpn (virtual private network ) là một mạng riêng ảo, thực sự bùng nổ vào năm 1997

Là phương pháp làm cho một mạng công cộng (vd như mạng internet) hoạt động giống như mạng cục bộ Vpn cho phép thành lập các kết nối riêng với những người dùng ở xa hay các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng Giúp tiếc kiệm về chi phí và tính an toàn bảo mật dữ liệu Mạng diện rộng (wide area network - WAN) truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường truyền riêng, song song với việc đầu tư các thiết bị và đội ngũ cán bộ Nhưng những vấn đề về chi phí đã làm cho các công ty dù muốn hưởng lợi ích từ việc

mở rộng mạng đem lại nhưng đôi khi họ không thực hiện nổi Trong khi đó, vpn không bị những rào cản về chi phí như các mạng WAN trên do thực hiện qua một mạng công cộng

3 Khái niệm VPN:

Vpn là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở đầu này đến hệ thống ở đầu kia qua mạng chung (như mạng internet ) mà không để giao thông nhận biết có những hộp trung gian giữa 2 đầu, ho ặc không để cho những hộp trung gian nhận biết chúng đang chuyển những gói tin qua mạng đã được mã hóa đi qua đường hầm Định đường hầm (tunneling ) là một cơ chế dùng cho việc đóng gói(encapsulate ) một giao thức vào trong một giao thức khác Trong ngữ cảnh internet, định đường hầm cho phép những giao thức như: IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong IP Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu và chứ gói mã hóa vào trong một vỏ bọc IP(IP envelope) Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo mật qua mạng internet Tại bên nhận, sau khi nhận được gói trên sẽ tiếng hành gỡ bỏ vỏ bọc bên ngoài và gi ải mã thông tin dữ liệu trong gói này và phân phối đến thiết bị truy cập thích hợp, chẳng hạn như 1 bộ định tuyến

Một ứng dụng điển hình c ủa VPN là cung cấp 1 kênh an toàn từ đầu mạng giúp cho những văn phòng chi nhánh ho ặc văn phòng ở xa ho ặc những người làm việc từ xa có thể dùng internet truy cập vào tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng công ty

Hình 1.3.1 Mô hình mạng VPN cơ bản

Những thiết bị ở đầu mạng hổ trợ cho mạng riêng ảo là switch, router và firewall Những thiết bị này có thể được quản trị bỡi công ty hoặc các nhà cung cấp dịch vụ (ISP)

Phần “ảo” (virtual) bắt nguồ n từ yếu tố ta đang tạo một liên kết riêng qua mạng chung VPN cho phép ta giả vờ như đang dùng đường dây thuê bao hoặc quay số điện thoại trực tiếp để truyền thông tin giữa 2 đ ầu VPN là “riêng” (private) vì sự mã hóa được dùng để đạt sự bảo mật một trao đổi trên mạng riêng mặc dù trao đổi này xảy ra trên mạng chung VP N cũng dùng “mạng” (network) IP để trao đổi

VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thông qua sự kết nối địa lý, mà không cần phải thuê đường truyền, điều này làm đơn giản hóa tùy chọn cấu trúc mạng và làm tăng sự phát triển mạng mà không phải thiết kế lại mạng LAN ho ặc gián đoạn sự kết nối

VPN là một chi nhánh của kỹ thuật liên lạc riêng lẻ, được đưa lên từ mạng chung Người sử dụng có thể truy xuất đến mạng công ty dù ở nhà hay ở xa, thông qua sự kết nối cục bộ đến ISP VPN thiết lập một kết nối bảo mật giữa người sử dụng và mạng trung tâm Dịch vụ này cũng có thể thiết lập những kết nối trực tiếp giữa những khu vực khác nhau thông qua ISP, qua ISP giá thành gi ảm trong kết nối qua quay số và những dịch vụ thuê đường truyền Dữ liệu truyền đi thì được bào đảm với kỹ thuật bảo mật cao

Tính bảo mật:

Bảo mật là những gì làm cho VPN trở nên có tính “ảo” và “riêng” Để cạnh tranh

và nhiều lý do khác, việc bảo mật thông tin và các quá trình trao đổi thông tin của công ty trở nên có tính chất sống còn, đó là nguyên nhân các giải pháp WAN và đường truyền kênh thuê riêng được sử dụng 1 cách phổ biến như hiện nay Như vậy, yêu cầu của VPN

là phải bảo mật như đường dây thuê riêng, đồng thời mang lại những ưu điểm về chi phí

mà không cần phải bỏ những tính riêng tư của mạng Do đó, cần kết hợp các sản phẩm và công nghệ với nhau để đảm bảo bảo mật cho các kết nối VPN

Hình 1.3.3 Bảo mật trong VPN

Đường hầm:

Các đường hầm (tunnel) chính là đặc tính ảo của VPN, nó làm cho một kết nối dường như một dòng lưu lượng duy nhất trên đường dây Đồng thời còn tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã áp dụng trong mạng nội

bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu Đường hầm củng làm cho VPN có tính riêng tư

Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm có giao thức định đường hầm điểm - điểm PPTP (Point to Point Tunneling Protocol), chuyển tiếp lớp 2 – L2F (Layer 2 Forwarding) hoặc giao thức định đường hầm lớp 2 – L2TP (Layer 2 Tunneling Protocol) Các mạng VPN nội bộ và mở rộng dành riêng có thể sử dụng những công nghệ như bảo mật IP – Ipsec (IP security) hoặc bọc gói định tuyến chung GRE (Generic Route Encapsulation) để tạo nên các đường hầm ảo thường trực

Hình 1.3.4 Đường hầm trong VPN

Mã hóa:

Mã hóa (encryption) là tính năng tùy chọn nó cũng đóng góp vào đ ặc điểm “riêng tư” của VPN Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng đặc biệt, còn bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến tốc độ, tăng gánh nặng cho bộ sử lý

Hình 1.3.5 Mã hóa trong VPN

Tường lửa:

Chúng ta sử dụng tường lửa (firewall) để bảo mật mạng nội bộ của mình chống lại những cuộc tấn công vào lưu lượng trên mạng và nhựng kẻ phá hoại, giải pháp bức tường lửa tốt là công cụ có khả năng phân biệt các lưu lượng dựa trên cơ sở người dùng, trình ứng dụng hay nguôn gốc

Hình 1.3.6 Tường lửa VPN

Định danh người dùng (User Identification):

Mọi người dùng điều phải chịu sự kiểm tra xác thực để báo cho mạng biết những thông tin về họ (quyền truy cập, mật khẩu, ) và phải chịu sự ủy quyền để báo cho biết về những gì họ được phép làm Một hệ thống tốt còn thực hiện tính toán để theo dõi những việc mà người dùng đã làm nhằm mục đích tính cước và bảo mật Xác thực (Authentication), trao quyền (Athorization) và tính cước (Accounting) được gọi là các dịch vụ AAA

Hình 1.3.7 Định danh người dùng trong VPN

Tính ưu tiên:

Ưu tiên là quá trình “gắn thẻ” cho dòng lưu lượng của một ứng dụng nào đó đối với các dịch vụ đươc xúc tiến qua mạng Ví dụ như lưu thông các trình ứng dụng nghiệp vụ quan trọng (chẳng hạn như các ứng dụng cơ sở dữ liệu danh mục hoặc bán hàng) có thể nhận được ưu tiên hàng đầu để chuyển nhanh, phù hợp với xu thuế canh tranh trên thương trường, trong khi các dịch vụ như gởi e-mail hay truyền tập tin thì có ưu tiên thấp hơn Khả năng gán quyền ưu tiên sẽ phải độc lập với dữ liệu truyền để đảm bảo tính hoàn hảo thực sự của dịch vụ

4 Sơ lược về các giao thức dùng cho VPN:

Hiện nay có 3 giao thức chính dùng để xây dựng VPN là:

4.1 Giao thức định đường hầm điểm – điểm PPTP

Hình 1.4.1 Giao thức PPTP

Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point-to-Point Tunneling Protocol) được cung cấp như một phần của các dịc vụ truy cập từ xa RAS (Remote Access Servicess) sử dụng cách mã hóa s ẵn có, xác thực người dùng và cở sở cấu hình của giao thức điểm – điểm PPP (Point-to-Point Protocol) để thiết lập các khóa

mã

4.3 Giao thức bảo mật IPsec:

Hình 1.4.3 Giao thức IPSec

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hóa Lợi điểm lớn

nhất của Ipsec (IP security) là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là các người sử dụng

Để xây dựng một VPN bảo mật, chúng ta có thể dùng 2 cách sao:

Cách 1: Có thể dùng PPTP một cách độc lập vì bản thân PPTP có thể cung cấp một VPN bảo mật Dùng cách này ta sẽ giảm thiểu được chi phí và việc quản lý sẽ ít phức tạp

Cách 2: Kết hợp giữa L2TP và IPSec để cung cấp một VPN bảo mật, cách này thích hợp cho những công ty đòi hỏi tính bảo mật mạng cao, mặc dù phương pháp này sẽ gây tốn kém và việc quản lý mạng sẽ có độ phức tạp hơn so với cách trên

5 Ƣu nhƣợc điểm của VPN:

5.1 Ƣu điểm :

- Bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm VPN

- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay số đường dài tốn kém hay đường dây thuê bao không còn cần thiết nữa đối với những tổ chức sử dụng VPN”đóng gói” dữ liệu 1 cách an toàn qua mạng internet

- Nhanh chóng: những tổ chức có văn phòng chi nhánh hay những người làm việc

từ xa có thể truy cập dữ liệu của văn phòng công ty chính từ bất kì địa điểm nào trên thế giới mà không phải tốn kém nhiều bằng cách kết nối vào mạng internet thông qua nhà cung cấp dịch vụ địa phương

- Có nhiều lý do cho việc thiết lập VPN cho việc truy xuất từ xa, nhưng đặc biệt hấp dẫn nhất tới những người quan tâm là khả năng tiếc kiệm giá thành

- Trong những tổ chức lớn, điều này gây ra một sự khác biệt lớn về giá thành Khi một tổ chức đưa công ty lên mạng của mình, số lượng đường truyền thuê sẽ tăng theo số

mũ Trong mạng WAN truyền thống, điều này có thể giới hạn tính linh hoạt cho sự phát triển, VPN thì không

- Sử dụng VPN, các khách hàng nhận được sự thiết lập kết nối Internet tốc độ cao

và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự

- Số lượng kết nối đồng thời lớn

- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền internet mà bạn sử dụng

- Mọi giao thông qua VPN điều được mã hóa bất chấp nhu cầu có cần mã hóa hay không Việc này có chiều hướng gây nên tắt ngẽn cổ chay

- Không cung cấp sự bảo vệ bên trong mạng – VPN kết thúc ở đầu mạng

- Một khi nhân viên đã vào bên trong mạng, dữ liệu không còn được mã hóa nữa Hơn nữa, các VPN không thể giới hạn nhân viên thoát khỏi sự truy cập thoải mái bất kì server nào trên mạng nội bộ

6 Các mô hình VPN:

Hình 1.6.1 Các mô hình VPN

6.1 Mô hình Client – Server (Remote Access):

Các VPN này cung cấp truy cập tin cậy cho những người dùng đầu xa như các nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của công ty

Hình 1.6.2 Mô hình Remote Access VPN qua Internet

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN

để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server) Vì lý do này, giải pháp này thường được gọi là Client/Server Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo lại các Tunnel về trung tâm của họ, việc cấu hình cũng như xác thực gần như trong suốt với người dùng, họ đơn giản chỉ cần cung cấp thông tin xác thực thông qua phần mềm Client để máy chủ tiến hành việc chứng thực User nên còn được gọi là Easy VPN (Theo Cisco)

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty Chính sách này bao

gồm: qui trình (procedure), kỹ thuật, máy chủ (Ví dụ như Remote Authentication Dial-In User Service - RADIUS, Terminal Access Controller Access Control System Plus - TACACS+, hay AAA…)

Thuận lợi chính của Remote Access VPN:

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân được giảm thiểu bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP

- Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

- Giảm giá thành chi phí cho các kết nối với khoảng cách xa

- Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

-VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

Hạn chế của Remote Access VPN:

- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP -based diễn ra

vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói

dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

- Mặc định, người dùng Remote Access VPN khi kết nối tới VPN Server sẽ không thể đi

ra Internet trực tiếp từ máy của mình Tất cả các gói tin đều sẽ được mã hóa đi trong Tunnel tới VPN Server, và nếu VPN Ser ver cho phép gói tin này thì mới ra được Internet Tuy nhiên, Cisco đã cung cấp cho người dùng công nghệ Split Tunneling để cải thiện việc này Bản chất của Split Tunneling là tạo ra một ACL trong đó định nghĩa ra lớp mạng nào sẽ được bảo vệ bằng đường hầm IPSec, những gói tin mang địa chỉ nguồn, đích khác với ACL này được hiểu là không mã hóa và không đưa vào Tunnel

- Remote Aceess VPN có thể dễ dàng truy cập dial-up bởi người dùng từ xa dùng phần mềm truy cập (Với Cisco là Cisco Secure VPN Client), nhưng việc cấu hình cho VPN server là khá phức tạp, hiện nay hầu như các hãng đều hỗ trợ việc cấu hình bằng giao diện web cho Router để dơn giản hóa việc cấu hình, nhưng điều này cũng làm cho việc tùy chọn cũng như chỉnh sửa một phần trở nên không thuận lợi như cấu hình dòng lệnh

Hoạt động của Remote Access VPN:

Tại server: Router server được cấu hình một dải địa chỉ để cấp xuống cho Remote user khi có yêu cầu, đồng thời các chính sách bảo mật, xác thực người dùng có thể được

sử dụng trên ngay Router server bằng cách tạo ra các username và password trực tiếp Chuyên dụng hơn, với những VPN lớn số người dùng truy cập có thể lên tới hàng ngàn, ngươi ta đưa việc xác thực người dùng này cho một bên thứ ba có thể là máy chủ Terminal Access Controller Access Control Service (TACACS), Remote Access Dial-In User Service (RADIUS), hay dùng một server chứng thực đơn giản như AAA Router Server sẽ trỏ đến các server chứng thực này đề lấy thông tin

Tại Remote User: Người dùng sử dụng phần mềm quay số VPN đến Server nhập username và password nếu có sẵn trên server VPN hay gửi yêu cầu cung cấp chứng thực người dùng tới các server chứng thực nói trên, sau khi Remote user được cung cấp chứng thực, Remote user sẽ dùng nó kết nối tới Server VPN, lúc này Server VPN đẩy cấu hình VPN cho User cấp địa chỉ IP theo dải thiết lập của nó để thực hiện kết nối VPN

Các bước thiết lập đường hầm Remote Access VPN:

Bước 3 :

- Easy VPN Server tìm kiếm cho phù hợp :

- Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận

- Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng một danh sách cùa Easy VPN Server

- Các SA ISAKMP thiết lập thành công

- Thiết bị kết thúc xác thực và bắt đầu xác thực user

Hình 1.6.5 Bước 3 trong thiết lập đường hầm

Bước 4 :

- Nếu Easy VPN Server cấu hình cho Xauth , VPN Client chờ đợi thách thức cho Username / Password :

- Người dùng nhập vào Username / Password

- Thông tin User/ Pass được đối tượng kiểm tra và xác thực bằng AAA

- Tất cả Easy VPN Server được cấu hình để thực thi xác thực User

Hình 1.6.6 Bước 4 trong thiết lập đường hầm

Bước 5:

- Nếu Easy VPN cho biết xác thực thành công , VPN Client sẽ yêu cầu những tham

số còn lại từ Easy VPN Server :

- RRI nên được sử dụng khi các điều kiện sau xảy ra :

- Nhiều hơn một máy VPN Server

- Địa chỉ IP tĩnh được sử dụng với một số Client

- RRI đảm bảo việc tạo ra Static Router

- Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các máy chủ tìm thấy Easy VPN Server thích hợp cho việc kết nối với Client

Hình 1.6.8 Bước 6 trong thiết lập đường hầm

Bước 7 :

- Sau khi các thông số được cấu hình đã được công nhận bởi VPN Client

- IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập IPSec SA

- Sau khi thành lập IPSec SA kết nối VPN đã hoàn tất

Hình 1.6.9 Bước 7 trong thiết lập đường hầm

6.2 Mô hình Site-to-site VPN:

Site-to-site VPN (Lan-to-Lan VPN) được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó các t hiết bị này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác Các router và Firewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung

cấp chức năng này

Hình 1.6.10 Mô hình Site-to-Site VPN

Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN (xem xét về mặt chính sách quản lý) Nếu chúng ta xem xét dưới góc độ chứng thực nó có thể được xem như là một Intranet VPN, ngược lại chúng được xem như là một Extranet VPN Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng Giải pháp Site-to-Site VPN không phải là một Remote Access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó

Sự phân biệt giữa Remote Access VPN và Site-to-Site VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận Phân biệt lớn nhất là các Phase trong VPN, khi thiết lập VPN ở dạng Remote Access VPN, với chế

độ Config và Xauth để cung cấp các cơ chế và chính sách bảo mật cho người dùng ở xa

Site-to-Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật Đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IP Sec, mục đích của Site-to-Site VPN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu Bạn có thể thiết lập một Site-to-Site VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls

Hình 1.6.11 Các bước tạo Tunnel cho VPN Site-to-Site

Bước 1:

A và B hình thành tuyến lưu thông dữ liệu lý tưởng dựa trên các cấu hình định tuyến trước đó

Hình 1.6.12 Hình thành tuyến lưu thông lý tưởng

Tuyến lưu thông này sẽ được tạo đường hầm IPSec trong suốt quá trình kết nối về sau này

Bước 2:

Router A và B khởi tạo phiên IKE Phase 1

Hình 1.6.13 IKE Phase 1 giữa hai Peer

Quá trình này chia làm các phiên trao đổi nhỏ hơn trong đó là việc thiết lập và gửi cho nhau các SA nhằm tạo ra sự đồng bộ về chính sách bảo mật giữa các Site Sau đó là việc trao đổi khóa Diffie-Hellman và dựa vào khóa này Router sẽ tiến hành xác nhận lại các Peers của mình Cụ thể

Hình 1.6.14 Thiết lập chính sách cho IKE

Các Router tiến hành khởi tạo thỏa thuận IKE, tất nhiên chính sách bảo mật IKE phải hoàn toàn giống nhau trên các Router này

Hình 1.6.15 Quá trình trao đổi khóa Diffle-Hellman

Tiếp theo 2 bên sẽ thực hiện trao đổi khóa theo thuật toán Diffie-Hellman và cuối cùng là việc xác thực Peer, cách xác thực có thể là dùng Preshared keys, thuật toán RSA hay dùng RSA mã hóa Nonces (Số ngẫu nhiên trong quá trình trao đổi)

Hình 1.6.16 Xác thực Peer

Bước 3:

Router khởi tạo phiên IKE Phase 2 áp dụng IPSec cho các SA

Hình 1.6.17 Khởi tạo các thành phần bảo mật IPSec

Khởi tạo thành phần bảo mật IPSec và các cơ chế bảo mật trên nó được Cisco gọi

là Transform Set, thực chất transform set là một thuật ngữ để chỉ những thiết lập an ninh cho Tunnel dựa trên việc kết hợp các thuật toán và giao thức bảo mật, nó định nghĩa cơ chế làm việc của giao thức IPSec để đảm bảo dữ liệu choVPN Để thiết lập transform set, chúng ta phải định nghĩa tên transform set cho từng Router, việc đặt tên này có thể khác nhau, tuy nhiên các chính sách bảo mật ban hành bên trong nó bắt buộc phải giống nhau

để có thể thực hiện trao đổi dữ liệu Transform Set cho phép tùy chọn các mục:

- AH sử dụng MD5 hay SHA-1

- Mã hóa ESP dùng thuật toán DES, 3DES, AES và một số thuật toán khác

- Xác thực ESP dùng MD5 hay SHA-1

- Các thuật toán nén dữ liệu

Hình 1.6.18 Thiết Thiết lập transform set

Thiết lập các SA cũng như việc hủy và tái thiết lập các SA mới theo chu kì Trong giai đoạn này Router sẽ thực hiện hai thành phần chính là tạo cơ sở dữ liệu SA, trong đó

có việc xác định địa chỉ IP đích, SPI và việc sử dụng chế độ AH hay ESP Thành phần còn lại là khởi tạo chính sách bảo mật cho cơ sở dữ liệu trên bao gồm thuật toán mã hóa, thời gian sống, thuật toán xác thực

Bước 5:

Giải phóng đường hầm IPSec

Một đường hầm IPSec sẽ được giải phóng nếu xảy ra một trong hai việc sau:

- SA hết thời gian sống

- Gói truyền dữ liệu vượt quá ngưỡng

- Việc giải phóng này mang tính chất là việc hủy đi các SA

Chú ý trong lúc cấu hình, ta nên quan tâm đến độ lớn của MTU trên kênh truyền,

do được đóng thêm các trường bảo mật của VPN IPSec nên MTU sẽ có kích thước lớn hơn truyền dữ liệu thường MTU quá mức cho phép sẽ dẫn đế hiện tượng rớt gói dữ liệu trong lúc truyền, do đó bên nhận sẽ không nhận được đầy đủ thông tin của bên gửi Để khắc phục điều này, người quản trị cần cấu hình Router VPN và giảm kích thước MTU xuống cho hợp lí (Thường là giảm MTU còn 1400, mặc định của chuẩn Ethernet trên Router là 1500)

6.3 Mô hình VPN nội bộ (Intranet VPN):

Khái niệm:

Intranet VPN được sử dụng để kết nối các chi nhánh văn phòng đến trụ sở chính của

tổ chức thông qua hệ thống các Router trong mạng WAN c ủa tổ chức đó Việc thiết lập Intranet VPN này rất tốn kém vì phải sử dụng các Router riêng để hình thành mạng WAN, đồng thời việc quản lí và bảo trì sẽ phức tạp tùy thuộc vào lượng lưu thông trên mạng và phạm vi địa lý c ủa cả tổ chức, cách dùng mạng WAN này thường áp dụng cho các tổ chức có ít chi nhánh và nằm trong những khu vực địa lí nhỏ hẹp liền kế nhau